unSafe.sh - 不安全
我的收藏
今日热榜
公众号文章
导航
Github CVE
Github Tools
编码/解码
文件传输
Twitter Bot
Telegram Bot
Rss
黑夜模式
火柴人安全团队成立一周年(玩个游戏?)
前言:火柴人安全团队成立于2022年6月14日,可能这个时间我有其他事情要忙,就在今天6月8日提前成立一周年。回顾过去的一年:火柴人安全团队一步一步集聚来自各大src的白帽子,其中大部分活跃于补天,盒...
2023-6-8 09:49:32 | 阅读: 30 |
收藏
|
bgbing安全
安全
火柴
盒子
三天
漏洞
蓝军视角:阿里云 RCE 战火余烬下的启示
2023年4月19日,Wiz Research 在文章 Accidental ‘write’ permissions to private registry allowed potential RCE...
2023-5-25 21:5:23 | 阅读: 10 |
收藏
|
bgbing安全
容器
攻击
安全
信息
镜像
从事攻防渗透工作绕不开的几个证书(附大纲)
据BOSS 直聘发布的《2022 年中国网络安全行业白皮书》中显示,2022年网络安全行业人才缺口达到了50万人左右,其中核心技术人才更是稀缺。网络安全形势日益严峻,攻击者的手段与工具越来越多样化,企...
2023-5-15 11:38:51 | 阅读: 40 |
收藏
|
bgbing安全
安全
cisp
信息
漏洞
新耀东方-2023第二届上海网络安全博览会暨高峰论坛正式启动!
4月11日,新耀东方-2023第二届上海网络安全博览会暨高峰论坛(以下简称2023新耀东方上安会)正式启动,已对外发布招商方案。2021年,首届“新耀东方-2021上海网络安全博览会暨高峰论坛”在上海...
2023-4-19 13:5:47 | 阅读: 11 |
收藏
|
bgbing安全
东方
安全
博览
网络
垃圾洞,在SRC捡了1w赏金。
这大概是闭关前的最后一更了,周五的夜色悄悄来临,借着公司的余光,我敲出这一篇推文,给大家分享比较另类但却小众的漏洞。正文这次的主题是postMessage未验证消息来源origin,导致恶...
2023-3-23 10:20:19 | 阅读: 72 |
收藏
|
bgbing安全
漏洞
postmessage
挖掘
注入
attacker
渗透实战:记一次弱口令的挖掘
前言最近领导安排了一次众测任务给我这个驻场的安服仔,是甲方公司一个新上线的系统,要求对此系统进行漏洞挖掘。没有任何测试账号,资产ip等信息,领导丢下一个域名就跑了。信息收集打开域名,就是一个堂堂正正的...
2023-1-9 11:26:23 | 阅读: 27 |
收藏
|
bgbing安全
挖掘
端口
账号
爆破
nacos
对某颜色站的一次渗透测试
✎ 阅读须知乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利...
2022-12-30 09:59:18 | 阅读: 45 |
收藏
|
bgbing安全
脚本
账号
adminx
安全
爆破
SRC挖掘思路(十四)
文章来自" bgbing安全",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!)本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码!1.前言信息泄露随处可见,看你细不细2.前置...
2022-12-27 17:6:45 | 阅读: 40 |
收藏
|
bgbing安全
挖掘
信息
安全
漏洞
饭钱
记某cms代码审计getshell
记之前对某cms v1.2版本的代码审计,到现在已经更新了几个版本,本文提到的漏洞在最新版中均已修复。基于安全披露原则,对cms进行打码处理。记之前对某cms v1.2版本的代码审计,到现在已经更新了...
2022-12-24 00:1:49 | 阅读: 18 |
收藏
|
bgbing安全
数据
挖掘
数据库
nadmin
【逻辑漏洞】-商城平台实战分享
批量注册&用户名枚举从下图我们可以发现,输入的手机号已经被注册过了,说明该网站是不允许单手机号注册多个用户的。这里抓包可以发现,其实是异步发送了一个包进行验证,通过对/checkPhone.htm请求...
2022-12-23 00:2:42 | 阅读: 25 |
收藏
|
bgbing安全
挖掘
爆破
漏洞
猜想
安全
利用第三方平台快速发现漏洞
在挖SRC漏洞时,我们通常会从信息收集开始,挖掘企业主域名、子域名、端口扫描、网站爬虫等一系列操作,做完这些操作之后,你会发现花费了大量的时间和精力,那么有没有什么办法,快速发现目标相关带参数的链接,...
2022-12-22 00:4:2 | 阅读: 79 |
收藏
|
bgbing安全
挖掘
漏洞
数据
github
信息
使用 ChatGPT 进行逆向的一次尝试
前言最近 ChatGPT 很火,笔者也进行了尝试,发现惊为天人,可谓颠覆性的产品。下面是通过 ChatGPT 进行一道简单的 CTF 逆向题的过程。正文题目选取了攻防世界的一道简单逆向,题目名称为”l...
2022-12-21 11:31:18 | 阅读: 22 |
收藏
|
bgbing安全
挖掘
chatgpt
4007c0
逆向
4007f0
对学校澡堂的漏洞挖掘
PS:萌新发文能力有限,还在通宵看各位师傅们的文章,学习新姿势记录一次奇妙原因的逻辑漏洞挖掘终于开学啦,与许久未见的同学们来一场篮球(*人运动)。夏日炎炎,只能傍晚时分与同学们相约球场,一场大汗淋漓的...
2022-12-20 00:6:36 | 阅读: 44 |
收藏
|
bgbing安全
挖掘
预约
信息
漏洞
澡堂
记一次小程序测试
一个简单的小程序渗透过程记录,大佬勿喷!0x00 前言前段时间公司搬家了,换了个大地方,现在进出都是人脸识别了。。感觉针不戳。。但是,这个人脸识别系统,竟然要用一个看起来特别low的微信小程序去录入人...
2022-12-19 00:2:45 | 阅读: 12 |
收藏
|
bgbing安全
挖掘
cnvd
信息
修复
cryptojs
宝塔Nginx挂马在线检测
网上最近流传宝塔Nginx出现被挂木马的事件频传,今天收集到了一个不错的站点木马检测工具。提供相关免费的查询技术支持,同步云端木马数据。用百度域名检测结果用其他存在挂马的检测结果检测思路:特征标题:n...
2022-12-18 00:4:9 | 阅读: 62 |
收藏
|
bgbing安全
木马
挂马
宝塔
劫持
security
一次任意文件下载引发的渗透
起因故事的开始,是一个老套的任意文件下载漏洞发现这个漏洞,自然要利用起来,读读文件一看这个的dbconn.asp,就是跟数据库连接有关的,于是读取一下:连接密码啥的没直接写,不过略微思考就能想到:不写...
2022-12-17 00:2:39 | 阅读: 29 |
收藏
|
bgbing安全
挖掘
好家伙
家伙
漏洞
403
某众测黑盒0day挖掘获得奖金上限
黑盒测试多细心观察每一处地方刚开学没多久在宿舍隔离上网课,无聊看漏洞众测平台发布了新项目(好好学习,好好听课,不要逛SRC)最高奖金一千块。然后成功报名并通过审核占到茅坑(占着茅坑不拉屎)使用奇安信的...
2022-12-16 00:4:6 | 阅读: 17 |
收藏
|
bgbing安全
挖掘
usercode
appcode
usermap
authtype
记一次hvv渗透
针对IP做信息收集访问 http://xxx.com:28080/#/login打开发现使用的是vue.js 估计是做了前后端分离,这种一般测试思路是找api接口或未授权主页功能点很少,登录返回包给不...
2022-12-15 00:2:27 | 阅读: 26 |
收藏
|
bgbing安全
挖掘
28080
信息
jsfinder
账号
JS文件中的敏感信息+swagger接口测试
实战中会经常遇到很多js文件,在js文件中很可能会遇到一些敏感信息和路径之类的,遇到路径可以尝试拼接,有可能会遇到未授权的情况等等,也有很多站点是webpack打包,可以F12查看sources找到路...
2022-12-14 00:2:20 | 阅读: 26 |
收藏
|
bgbing安全
swagger
挖掘
信息
github
账号
某钓鱼网站getshell
在闲逛论坛发现一个钓鱼网站Xxxx.com/1.php 页面这么LOW一看就是和我一样的菜鸟弄的,开始搞起(#^.^#)下意识输入/admin,没想到蹦出一个后台页面,不需要登录,不是钓鱼页面后台。那...
2022-12-12 00:1:34 | 阅读: 30 |
收藏
|
bgbing安全
挖掘
php
钓鱼
数据
菜鸟
Previous
-4
-3
-2
-1
0
1
2
3
Next